Het thema cyborgs boeit me nog steeds mateloos. Vandaar dat ik zeer verrukt was over de films van Floris Kaayk. Hij maakte een filmpje over een nog vrijwel onbekende ziekte, Metalosis maligna, waarbij implantaten in het menselijk lichaam oncontroleerbaar gaan woekeren. Voorts heeft hij een korte documentaire gemaakt over nieuwe insectensoorten die zich hebben ontwikkeld op oude, verlaten bedrijfsterreinen: The order electrus.
Tag: Technologie
Over technologie (en soms: wetenschap), en over de impact daarvan op ons dagelijks leven.
Techniek alleen is niet de oplossing
Al geruime tijd horen we dat de invoering van het elektronisch patiëntendossier (EPD) het aantal fouten in de medische sector dramatisch zal reduceren. Nu heb ik daar zo mijn twijfels over, ook al omdat beleidsmakers er niet bij stil staan dat elke techniek zijn eigen fouten genereert en het EPD zelf ook medische missers zal veroorzaken. Daarnaast geloof ik nooit zo in techniek alleen als de oplossing; dat is een soort van technologisch optimisme dat keer op keer de mist in gaat.
Vanmorgen stond dit in de Volkskrant:
Bij de spoedeisende zorg in Nederlandse ziekenhuizen wordt 80 procent van de fouten gmaakt door overbelasting van arts-assistenten of door gebrekkige samenwerking tussen arts-assistenten en hun opleiders. [..] In november werd al bekend dat de werkomstandigheden van een arts-assistent zeer zwaar zijn. Een op de vijf arts-assistenten vertoont tekenen van een burn-out, 40 procent is chronisch vermoeid.
Maar ja, Betere arbeidsomstandigheden klinkt minder sexy dan een EPD.
Twee weken gelden hoorde ik van een gruwelijke medische misser. Had niks met gebrekkige medische communicatie te doen maar alles met onderbezetting en personeelstekort. De anaesthesist werd bij zijn voorbereidingen – mevrouw kreeg een langdurige operatie: borstamputatie met meteen reconstructie, plus reconstructie van de andere, al eerder geamputeerde borst; ze zouden naar schatting zeven uur bezig zijn – tot drie maal toe weggeroepen voor een reanimatie. Door al die onderbrekingen raakte hij uit zijn routine. Mevrouw kreeg netjes de spierverslappers, ze werd geïntubeerd, haar ogen werden dichtgeplakt en daar ging ze de operatietafel op. Zonder verdoving. Ze kon niets laten merken: bewegen kon ze niet, praten niet, niks niet. Godlof raakte ze steeds bewusteloos van de pijn zodat ze niet alles bewust heeft meegemaakt.
Bonnetjes en vertrouwen
Je zou raar staan te kijken als je bij de kassa in de winkel ineens nergens meer een bon kreeg en je boodschappen voortaan zonder controlemechanisme van je rekening worden afgeschreven. Niet dat er nu zoveel mensen zijn die de bon ter plekke narekenen; je gebruikt hem eigenlijk vooral om te zien hoe het nu komt dat het totaalbedrag hoger uitviel dan je had ingeschat. Toch is die bon onontbeerlijk. Het simpele feit dat je een bewijs krijgt dat je kunt controleren en dat je desgewenst later kunt vergelijken met je giro- of bankafschriften, handhaaft ons vertrouwen in het kassasysteem als geheel en in het betalen met pasjes in het bijzonder.
Dus u protesteert en vraagt de caissière alsnog om een bonnetje. Dat gaat niet, de nieuwe kassa’s blijken geen printers te hebben. ‘We hebben u het bedrag toch op onze eigen kassavenstertjes laten zien en toen heeft u ‘ja’ ingetoetst,’ zegt de filiaalchef die u uiteindelijk te woord staat, ‘dus u bent akkoord gegaan.’ ‘Dat klopt,’ zegt u vriendelijk, ‘maar ik wil gewoon graag een bewijsje.’ De filiaalchef krijgt rode konen van verontwaardiging. ‘Onze kassa’s kunnen uitstekend optellen, hoor. Waarom wilt u eigenlijk een bonnetje? Vertrouwt u onze kassa’s niet? Vertrouwt u ons soms niet?’ Maak er nou niet meteen een persoonlijke kwestie van, verzucht u innerlijk, het gaat niet om jou of je kassa; vertrouwen in dergelijke cruciale processen kan alleen bestaan als beide partijen elkaar op de vingers mogen kijken. ”U controleert met camera’s of ik niet van u steel,’ zegt u kordaat, ‘en ik wil met bonnetjes controleren of uw bedrijf niet van mij steelt,’ zegt u. Enigszins gepikeerd denkt u pal daarna: ‘Je hebt het trouwens wel over mijn geld dat van mijn rekening wordt afgeschreven, en waarmee uiteindelijk jouw baan wordt betaald.’
Die kassa’s dienen trouwens nog een ander doel: de caissières te kunnen controleren. De kas wordt altijd op verschillende manieren opgemaakt. Wat er aan baar en virtueel geld is binnengekomen moet kloppen met het eindbedrag dat het ding aan het eind van de dag uitspuugt, en als er ergens een verschil is, wordt er een onderzoek ingesteld.
Dat is in een notedop het probleem met die verrekte stemcomputers: alle externe controles zijn weggevallen. Het gaat er helemaal niet om of we de SDU of Nedap vertrouwen, het gaat erom dat wij – de mensen die hun stem hebben uitgebracht – het proces moeten kunnen blijven controleren en er een mechanisme aanwezig moet zijn om bij vermoeden van ongeregeldheden of fouten een hertelling te kunnen uitvoeren.
Bij de vorige verkiezingen zijn veel gemeentes op het laatste moment van de stemcomputer afgestapt omdat je kon afluisteren waarop iemand stemde. Eigenlijk leek dat me het minste probleem, tegenwoordig doen mensen niet meer zo geheimzinnig over hun politieke voorkeuren. Dat er geen papieren bewijs van een stemcomputerstem wordt uitgedraaid is ernstiger. Daardoor immers kan de individuele burger niet meer nagaan of eruit is gekomen wat hij erin heeft gestopt, en erger: na afloop is een hertelling godsonmogelijk geworden.
Waarom kunnen die dingen niet een simpel papiertje uitprinten met’U heeft op kandidaat X van partij Y gestemd’ dat je zelf even kunt nakijken en in een ouderwetse stembus gooit? De techniek kan dat. Maar kennelijk willen de SDU en Nedap dat niet. Reden waarom ik hen inderdaad niet vertrouw.
Gevaarlijk optimisme
De reden om een boek te schrijven over het elektronisch patiëntendossier (EPD) was dat er geen enkel publiek debat was gevoerd over de invoering ervan. Maar naarmate mijn onderzoek vorderde, stegen mijn zorgen over de technische kant van het geheel. Ik stuitte op onverwoestbaar technologisch optimisme: het geloof dat de het techniek inherent goed is. Die gedachte maakt kwetsbaar, je vergeet daardoor licht dat veiligheid en vertrouwelijkheid zaken zijn die permanente inspanning en doordachte bewaking vergen.
Beveiliging kan nooit het sluitstuk van het EPD zijn, hij moet van meet af aan worden meegebakken in de programmatuur en in alle processen en beslissingen eromheen. Door het (semi-)centraal toegankelijk maken van ieders medische gegevens vallen de veiligheid, de betrouwbaarheid en de vertrouwelijkheid van medische gegevens ineens – en voor het eerst – een op een samen. Wie een medisch systeem kan binnendringen, kan immers niet alleen die gegevens misbruiken: hij kan ze ook wissen of veranderen, met potentieel fatale gevolgen.
Tijdens het schrijven van Medische geheimen realiseerde ik me dat ik wel kon waarschuwen voor gaten in het systeem, maar dat die zorgen makkelijk zouden worden weggewoven door beleidsmakers. Zij waren immers nu juist de mensen die zo’n onevenredig groot vertrouwen in technologie hadden, en ik was dan Cassandra. Zo ontstond het plan om een aantal computersystemen in de praktijk te testen.
Twee ziekenhuizen bleken bereid mee te werken aan een dergelijke test. Het ene ziekenhuis verwachtte dat de test zou uitwijzen dat ze hun systemen prachtig hadden dichtgetimmerd; het andere ziekenhuis was minder overtuigd van de ondoordringbaarheid van haar netwerk. En jawel: juist het ‘optimistische’ ziekenhuis bleek zo lek als een mandje. De hackers die de test uitvoerden, waren er binnen de kortste keren binnen en konden wekenlang ongestoord hun gang gaan. De beveiliging, concludeerden ze later, ‘was van MKB-niveau’. Ik had plotsklaps de beschikking over 1,2 miljoen patiëntendossiers; ik kon opvragen wie aids had of een genetisch defect; ik kon laboratoriumuitslagen aanpassen, of een op de tien bloedgroepen veranderen. In het ‘voorzichtige’ ziekenhuis bleek de technische beveiliging aanzienlijk beter, maar zaten er teveel zwakke plekken in de procedures. Anders gezegd, de medewerkers daar waren er nog onvoldoende doordrongen van het belang van systematische beveiliging.
Maar ook zonder hacks gaan er dingen fout en blijkt het optimisme over de zegeningen die het EPD moet brengen, vooral toekomstmuziek. De kinderziektes zijn nog te prominent aanwezig, sterker: de mensen die met zulke computers moeten werken, hebben er niet veel fiducie in. Op de radiologie-afdeling waar ik tegenwoordig kind aan huis ben, hingen echter maandenlang affiches in alle gangen: ‘Vanwege de invoering van ons nieuwe administratiesysteem kunt u te maken krijgen met een langere wachttijd op de unit Radiologie. Wij vragen hiervoor uw begrip.’ Die wachttijden vielen overigens reuze mee maar het is frappant dat iedereen zich er al zo op had ingesteld dat automatisering voor vertraging zou zorgen. Op een kwade maandag, aan het begin van de middag, viel de elektriciteit in Amsterdam Centrum-Oost uit. De ochtend daarop zat ik bij mijn oncoloog en het EPD deed het wel weer zo’n beetje, maar het EVS – het elektronisch voorschrijfsysteem – was twintig uur na de stroomstoring nog steeds niet in de lucht. ‘Ze krijgen die computer die dat moet regelen niet opgestart’ glimlachte de oncoloog, op een toon die aangaf dat-ie zich al lang had verzoend met het falen van de techniek.
Met het falen van computers, om precies te zijn. Als andere medisch-technische apparatuur onberekenbaar was, zou de hele medische staf in opstand komen. Je moet erop kunnen bouwen dat een infuusregelaar zonder morren correct z’n werk doet, dat een hartmonitor altijd monitort, dat een MRI geen bugs heeft en nooit zelfstandig afwijkingen genereert, dat de OK en de ICU altijd een noodaggregaat hebben om op terug te vallen. Willen we kunnen bouwen op EPD’s, dan moeten ze altijd beschikbaar, altijd veilig en altijd correct zijn.
25 september / MC, 6 oktober 2006
ISOC award
De Internet Society Nederland – www.isoc.nl – kent soms prijzen toe voor dingen die op & rond internet gebeuren. De vorige keer was in 2003, en vandaag deden ze het weer. In de categorie ‘Veiligheid en privacy’ was ik genomineerd vanwege mijn boek Medische geheimen, over het elektronisch patiëntendossier. Ook Bits of Freedom, waarvan ik gedurende het hele bestaan voorzitter ben geweest, was genomineerd.
In die categorie werden vanavond bij hoge uitzondering twee winnaars aangewezen. Inmiddels was ik er, om allerlei redenen, van overtuigd geraakt dat Bits of Freedom een van die winnaars was, zodat ik het niet annemelijk vond dat ik er ook een zou krijgen (twee recalcitrante types/organisaties beprijzen vond ik niet in de lijn liggen). Maar ik kreeg ‘m wel! De andere winnaar was NLnet Labs. De tranen schoten me in de ogen toen mijn naam werd genoemd. Daarnaast is dit een heel prachtig moment om zo’n prijs te krijgen, net nu ik weer aan het werk ga.
Het was niet de bedoeling dat de winnaars nog iets zeiden, anders had ik XS4ALL en TNTY omstandig bedankt want alleen door de reeks vond ik een plek voor dit verhaal over het EPD, en alleen omdat XS4ALL de serie draagt kon ik de ziekenhuizen zo gek krijgen dat ze zich lieten testen – en juist door die test sloeg het verhaal in als een bom. Nu kon ik alleen maar zeggen dat ik Heel Erg Blij was en de prijsuitreiker zoenen. Ik kreeg prompt een ovatie :)
Het volledige juryrapport staat hier en het persbericht van ISOC – inclusief een foto van Spaink die heel verzaligd naar de award kijkt – staat hier.
De X-factor
Voor het eerst in jaren heb ik zo’n reclamegevoel. Een of ander bedrijf dat mobieltjes maakt, laat geregeld een filmpje zien van mevrouw die haar telefoon dichtklapt, waarna haar hele huis zich langzaam ineen vouwt en in de telefoon plooit. Daarna stopt ze het ding in haar zak en loopt weg, huis en mobieltje veilig in haar binnenzak. Zo’n mevrouw ben ik nu ook. Het hele opslaanbare deel van mijn hele leven – alles wat ik ooit heb geschreven, mijn volledige muziekcollectie, mijn foto’s, mijn agenda, de adressen van alle vrienden en kennissen – zit plotseling in een enkele machine die ik kan meenemen. Zodra ik het ding openklap, is-ie wakker en werkt-ie.
Na jaren met Windows te hebben gehannest en drie jaar vruchteloos met Linux te hebben gestreden, kon ik alleen maar denken: hoe komt het dat ik niet eerder wist hoe gemakkelijk, slim georganiseerd, eenvoudig in het gebruik en esthetisch een Powerbook is? Natuurlijk probeert reclame me precies dat te vertellen, maar reclames werken zichzelf tegenwoordig tegen. Juist omdat ze iedereen massaal door de strot worden geduwd, worden mensen skeptisch over de geadverteerde claims. ‘Van deze crème wordt uw huid mooi,’ beweert merk A, en voegt daar inconsequent aan toe: ‘Uw huid reflecteert uw gezondheid.’ Als dat zo is, denk ik vals, helpt een zalfje dus niet, alleen gezonder leven. Exit merk A.
Zo gaat het met de meeste reclames: oog in, oog uit, je schermt je af en gelooft niks meer. In die zin snijdt reclame gaandeweg godlof haar eigen stot door.
Mond-tot-mondreclame werkt wel, maar heb ik niet gehoord. Bij het kerstdiner deed ik navraag, van veel vrienden die al langer Mac-adepten zijn wist ik niet eens dat ze er een hadden. Ook al zijn die grote fans van hun machines – allemaal hebben ze mijn juichgevoel gehad – ze hebben ‘t er nooit over gehad. We hebben zelfs het archief van een mailinglist van de groep doorzocht en vonden een enkele zijdelingse opmerking, verder niets.
Het was warempel net XTC. Daarvan wist ook iedereen lang voor mij wat een geweldig spul dat was, en ontdekte ik pas toen ik over mijn ervaringen vertellen dat veel mensen die ik kende het allang gebruikten. ‘Had je mij dat dan niet ‘s kunnen vertellen,’ antwoordde ik, maar ik begreep dat zwijgen ook wel, want drugs aanraden is toch een genre apart.
Maar een Mac is geen drug en je hoeft ook niet meteen in een secte als je er een koopt, dus ik vroeg door over deze stilte. ‘Je begeeft je toch op religieus terrein,’ zei een kennis, doelend op de mijn-besturingssysteem-is-beter-dan-het-jouwe disputen die regelmatig op onze mailinglijst woeden. Hij heeft gelijk denk ik, maar niet vanwege die software-oorlogen, het zit ‘m dieper. Mensen schromen tegenwoordig elkaar iets aan te raden, ongeacht om welk soort keuzes het gaat. Afwijzen gaat een stuk makkelijker, al doe je dat wat betreft andermens gedrag in bedekte termen; een brak product boren we met animo in de grond, Maar iemand iets aanraden is not done. Misschien omdat je dan vreest op een reclamebot te lijken, maar nog meer – en daarin zit ‘m de religieuze dimensie – omdat je zelf dan zo evangelisch overkomt en iemand lijkt te willen bekeren.
Ik ben fijn evangelisch. Neem allen XTC! Koop een Mac!
Pingpongen met patiëntengegevens
Vorige week bewees ik dat patiëntengegevens niet veilig zijn opgeslagen. Een groep beveiligingsdeskundigen wist zonder idioot veel moeite door de beveiliging van twee ziekenhuizen heen te breken en kon naar believen in de patiëntendatabases vissen. Als je deze groep experts op andere ziekenhuizen zou loslaten, zouden ze in negen van de tien gevallen precies dezelfde resultaten behalen.
De reden? Nederland is bezig over te stappen naar een landelijk elektronisch patiëntendossier (EPD). Alle zorginstellingen zijn bezig hun patiëntendossiers voor elkaar open te stellen: huisartsen moeten de EPD’s bij ziekenhuizen kunnen bekijken, ziekenhuizen die van apothekers, enzovoorts. En waar bevoegden mogen binnenkomen, is vrijwel altijd een slinks weggetje te vinden voor onbevoegden. Patiëntgegevens worden niet versleuteld bewaard maar in klare tekst, en er zit zoveel programmatuur omheen – die EPD’s moeten namelijk steeds mooier en ingenieuzer worden – dat de software onbeheersbaar wordt.
De Inspectie voor de Gezondheidszorg, die ik een week geleden op de hoogte stelde, schrok zich en hoedje. Wat ze gingen doen om zulke lekken in de toekomst te voorkomen, vroeg ik. ‘Daar hebben we standaarden voor!’ zei de inspecteur. ‘Die werken niet, dat heb ik net bewezen,’ zei ik, ‘het gaat om volkomen nette ziekenhuizen die zich keurig aan de regels houden.’ Ondertussen weigert de Inspectie om eisen te stellen aan de software die wordt gebruikt: men vindt dat een zaak voor de markt. De Vereniging van Nederlandse Ziekenhuizen schrok eveneens maar kon of wilde niets zeggen: alles wat met het landelijk EPD te maken heeft, valt onder het Nictiz, het Nationaal Instituut ICT in de Zorg. Het Nictiz tenslotte wilde ook niks zeggen omdat ‘beveiliging van medische informatie de verantwoordelijkheid van de zorginstellingen zelf is’.
Een prachtig spelletje pingpong. Iedereen laat de ziekenhuizen in de steek, ook de overheid, die paal en perk stelt aan het geld dat ziekenhuizen mogen uittrekken voor hun automatisering. Hoe huisartsen de zaak moeten aanpakken, is helemaal een raadsel. Die hebben immers geen automatiseringsafdeling achter zich staan, geen systeembeheerder die hun computer up-to-date en virusvrij houdt, geen hoofd ICT dat helpt om de beveiliging te regelen.
De opvatting van het Nictiz is formeel juist – zij hebben immers geen zeggenschap over ziekenhuizen of huisartsen – maar in de praktijk onhoudbaar. Want de patiëntengegevens bij al die individuele zorginstellingen vormen de basis van het landelijke EPD. Het Nictiz is bezig een structuur bovenop al die huisartsen, ziekenhuizen, apothekers en verpleegtehuizen aan elkaar te knopen, maar als de onderste laag niet veilig is, kan wat daar bovenop wordt gebouwd nooit veilig worden.
Mijn hack is het derde grote incident in het afgelopen half jaar rond het EPD. In maart van dit jaar had het Spaarne Ziekenhuis in Hoofddorp te kampen met een computervirus; het gevolg daarvan was dat de poliklinieken een week lang niet of moeilijk bij de elektronische dossiers van hun patiënten kon. Veel afspraken moesten worden afgezegd. Twee weken gelden bleek dat de software die veel apotheken gebruiken om recepten te beheren en doseringen uit te rekenen, een fout bevatte waardoor bij 200 verschillende medicijnen de verkeerde dosering werd afgeleverd. En nu mijn hack, waardoor de gegevens van acht procent van de Nederlandse bevolking ineens op straat lagen.
Wie moeten ons zorgen gaan maken. We moeten nog eens heel goed nadenken hoe die invoering van dat landelijk dossier beter en veiliger kan.
Medische geheimen
Het elektronische patiëntendossier (epd) dat vanaf 2006 wordt ingevoerd, moet bewerkstelligen dat artsen over en weer elkaars dossiers over een patiënt kunnen raadplegen. Door gegevens te delen, kunnen medicatiefouten worden voorkomen en wordt vermeden dat onderzoek dubbel wordt uitgevoerd. Dat maakt de zorg efficiënter en goedkoper, en voorkomt medische missers.
Een prachtig plan, maar niet zonder haken en ogen. Hoe zorg je dat alleen bevoegde personen toegang krijgen? Tot welk niveau krijgt de patiënt zelf toegang? Hoe veilig zijn al die persoonlijke gegevens? Wie kunnen er allemaal bij?
Details:
Medische geheimen: de risico’s van het elektronisch patiëntendossier – uitgeverij Nijgh & Van Ditmar – Amsterdam, september 2005 – The Next Ten Years, deel 1 – ISBN 90-388-6959-2 – 78 pagina’s – 2e druk 2006
Bestellen:
Flaptekst:
Het elektronische patiëntendossier (epd) dat vanaf 2006 wordt ingevoerd, moet bewerkstelligen dat artsen over en weer elkaars dossiers over een patiënt kunnen raadplegen. Door gegevens te delen, kunnen medicatiefouten worden voorkomen en wordt vermeden dat onderzoek dubbel wordt uitgevoerd. Dat maakt de zorg efficiënter en goedkoper, en voorkomt medische missers.
Een prachtig plan, maar niet zonder haken en ogen. Hoe zorg je dat alleen bevoegde personen toegang krijgen? Tot welk niveau krijgt de patiënt zelf toegang? Hoe veilig zijn al die persoonlijke gegevens? Wie kunnen er allemaal bij? Een elektronisch bestand dat duizenden patiëntengegevens bevat is via de computer makkelijk te kopiëren. Wat gebeurt er als een ziekenhuis besmet raakt met een computervirus? Waarom moeten we eigenlijk ineens allemaal een elektronische identiteitskaart krijgen?
Wat telt is de zekerheid dat er vertrouwelijk met medische gegevens wordt omgegaan. In dit boek onderzoekt Karin Spaink of het medisch geheim wel bewaard kan blijven in het elektronische tijdperk.
Presentatie:
De boekpresentatie wred nogal interessant, omdat we diezelfde week met een groep mensen een ziekenhuisdossier hadden gehackt. Een video van de presentatie is hier te zien. Let op: hij duurt 2 uur, maar je kunt fast-forwarden voor de juicy bits :)
Het medisch geheim gehackt
De gezondheidszorg heeft een nieuwe droom: patiëntgegevens die altijd paraat zijn en vanaf elk bevoegd bureau oproepbaar. Met een paar muisklikken kan een specialist iemands röntgenfoto’s ophalen, de resultaten van onderzoek bekijken of een recept uitschrijven en dat elektronisch afleveren bij de apotheek. Apotheken kunnen zien wat een patiënt eerder voorgeschreven heeft gekregen. Handig als je op vakantie bent en een oude kwaal ineens weer opspeelt. Ook kun je zo voorkomen dat iemand een middel krijgt voorgeschreven dat bijt met andere medicijnen die hij slikt, of waarvoor hij allergisch is.
Met elektronische patiëntendossiers maakt het niet meer uit waar iemands medische gegevens fysiek worden bewaard. Het gesleep met papieren dossiers is dan voorbij, evenals de vraag of iemands dossier wel compleet is en niet deels elders ligt. Als artsen aan de hand van iemands patiëntnummer overal kunnen zoeken, is alle informatie immers altijd voorhanden en door meerdere zorgverleners tegelijkertijd te raadplegen.
De zorg wordt op die manier beter en efficiënter, hoopt men. Bovendien kunnen zo ‘medische missers’ worden voorkomen, oftewel fouten in de zorg die veroorzaakt worden door onvolledige informatie of door gebrekkige informatie-overdracht.
Met de invoering van zulke elektronische patiëntendossiers (EPD) en elektronische medicatiedossiers (EMD) zijn beleidsmakers en zorgverleners al een tijd bezig. Te lang, vindt de regering, die er vaart achter wil zetten. Minister Hoogervorst wil als eerste stap het EMD in de loop van 2006 overal invoeren, en wie niet meewerkt kan op maatregelen rekenen. ‘Als het niet goedschiks gebeurt, dan maar kwaadschiks,’ dreigde hij een half jaar geleden in een overleg met de Tweede Kamer. Het landelijk dekkend EPD moet in 2010 klaar zijn.
Bijna alle specialisten en huisartsen werken al met een elektronische versie van de oude patiëntenkaart, dat is het probleem niet. Waar het om gaat is dat zorgverleners elkaars gegevens over een patiënt elektronisch kunnen inzien. Je moet dus zorgen voor (internet)lijntjes tussen al die honderden locaties waar patiëntendossiers worden bijgehouden, je moet een systeem verzinnen om patiënten uniek te maken (zodat ze bij alle zorgverleners herkenbaar zijn), en een systeem om zorgverleners te autoriseren.
We zijn een eind op streek. Ik heb de afgelopen maanden prachtige EPD’s gezien waar je met een druk op de knop rats-rats alle informatie over een patiënt uit alle hoeken van het ziekenhuis ophaalt, er zijn regio’s waar huisartsenposten, ziekenhuizen en fysiotherapeuten elkaars gegevens eenvoudig en snel kunnen raadplegen, er zijn complexe identificatie- en autorisatieprocedures uitgedacht met pasjes en wachtwoorden en dikke pakken papier met normen en standaarden zijn gepubliceerd.
Beleidsmakers willen het EPD liefst snel verder uitbreiden. Sommigen hebben science-fictionachtige visioenen, getuige het artikel dat twee leden van de Raad voor de Volksgezondheid en Zorg vorige week in Medisch Contact publiceerden. Ze schilderden het beeld van een soort zelfdenkend dossier dat automatisch informatie verzamelt, waardes uitrekent en waarschuwingen rondstuurt en waar de patiënt thuis zelf allerlei gegevens aan kan toevoegen.
Maar EPD’s zijn nu al hoogst ingewikkelde systemen die gegevens uit diverse disciplines moeten combineren en interpreteren, en die bovendien met computersystemen van buiten moeten communiceren. Hoe meer functionaliteit je eraan koppelt, hoe kwetsbaarder je de gegevens maakt: elke toeter en bel erbij maakt de programmatuur onoverzichtelijker en onbeheersbaarder. De benodigde link naar de buitenwereld maakt de systemen extra gevoelig. Want alles waar externe zorgverleners bij mogen, is vrijwel altijd ook bereikbaar voor slimme onbevoegden.
Om de proef op de som te nemen, liet ik experts van de beveiligingsbedrijven ITSX, Fox-IT en Madison Gurkha de beveiliging van twee ziekenhuizen testen. De resultaten waren schrikbarend. Beide ziekenhuizen waren ernstig lek. Bij één ziekenhuis hebben ‘mijn’ hackers via internet twee weken lang toegang gehad tot 1,2 miljoen patiëntgegevens en niemand merkte dat op. Ik kon de gegevens bestellen die ik wilde en kreeg ze dan binnen tien minuten per e-mail aangeleverd. Namen, adressen, telefoonnummers, patiëntnummers, polisnummers, geslacht, geboortedatum, lengte, gewicht, dood of levend. Erbij zat ook een lijst met patiënten die een besmettelijke ziekte hadden. Bij het andere ziekenhuis konden de ze eveneens vrijelijk zoeken in alle interne gegevens.
Hoe gevoelig een dergelijke hoeveelheid data is, is evident. Met één enkele hack kregen we toegang tot de medische gegevens van bijna acht procent van de hele Nederlandse bevolking. We konden gegevens inzien, kopiëren, weggooien of veranderen. We hadden alle bloedgroepen kunnen veranderen: rhesus positief naar rhesus negatief. We hadden mensen kunnen chanteren: weet uw vrouw dat u in 1999 een geslachtsziekte had? Weet uw aanstaande baas dat in uw familie genetische kanker voorkomt?
Dat de hackers binnen konden komen, lag niet alleen aan de complexiteit van de systemen. Natuurlijk, er was een oude versie van Oracle hier en een niet gepatchte fout in SQL daar, maar ja, tegen de tijd dat je dat hebt gerepareerd is er weer een lek zus of een gat zo. Dat is dweilen met de kraan open. Het was vooral omdat beveiliging van de gegevens achteraf is bedacht: eerst zijn al die gegevens verzameld, daarna is er iets overheen gelegd met toegangscodes. Maar zo werkt databeveiliging niet, het is geen toefje slagroom waarmee je een taart bedekt als-ie af is. Beveiliging moet in het meel zitten waarmee je bakt.
Wie aan massale dataopslag doet, moet die data permanent monitoren, ook op het laagste niveau. Alle procedures die zijn ontworpen regelen de beveiliging op hoog niveau, via de gebruikersprogramma’s (de interfaces). Op dat niveau wordt keurig bijgehouden wie gegevens bekijkt of wijzigt. Wie echter op de command-line werkt – zeg maar: met de ruwe data – kan vaak overal bij zonder dat dat wordt bijgehouden. ‘Dat kan niet, als je alle databewegingen moet bijhouden worden de echte programma’s te traag en kunnen we al die extra dingen niet doen!’ zeggen beleidsmakers dan. Die redenering verkwanselt elementaire veiligheid voor ‘mooie’ functionaliteit, en het zijn de patiënten die daar de tol voor betalen.
Ziekenhuizen en huisartsen bewaren hun patiëntendossiers voorts open en bloot, zonder encryptie. Wie eenmaal zo’n systeem binnen is, heeft de data letterlijk voor het oprapen. Waarom eist niemand dat het medisch geheim ook op medisch gegevensbeheer wordt toegepast en dat zulke gegevens alleen versleuteld mogen bewaard?
Goed met data omgaan kost veel geld. Het vergt fikse investeringen en er komt sterk gespecialiseerde kennis aan te pas. Ziekenhuizen krijgen dat geld nu niet. Ter vergelijking: banken en dergelijke geven tegenwoordig zo’n 12% van hun budget uit aan IT, onder meer omdat de beveiliging van die gegevens centraal staat, en zulke beveiliging nu eenmaal kostbaar is. Ziekenhuizen, die vergelijkbare maatregelen zouden moeten nemen, mogen van de overheid echter maar 2% van hun budget aan al hun IT besteden.
Als ziekenhuizen, die vanwege hun omvang een fatsoenlijke IT-afdeling kunnen opzetten, er al niet in slagen medische geheimen goed te beschermen, hoe moeten individuele huisartsen dat doen? Ook zij werken steeds vaker mee aan regionale EPD’s en leggen daartoe via internet contact met andere zorgverleners. Ze hebben derhalve diezelfde kwetsbaarheid, maar dan zonder een IT-afdeling die de ergste problemen oplost en die hun computer beheert. Wat als de computers van een huisartsenpraktijk gehackt worden, een virus binnenkrijgen, of erger: spyware? (Spyware zijn programma’s die slinks via webpagina’s je computer binnenkomen en opgeslagen gegevens kapen, zoals creditcard gegevens en wachtwoorden.)
Blijven we laks met de beveiliging van medische gegevens, dan gaan we een tijdperk van grootschalige medische spionage tegemoet. Want patiëntgegevens zijn machtig interessant. Voor verzekeraars. Voor bedrijven die in een overname verwikkeld zijn en willen weten hoe het staat met de conditie van de te kopen werknemers. Voor bedrijven met veel personeel: als je op personeelskosten kunt besparen door iedereen die een familiale aandoening heeft op voorhand te weren, bespaar je fors op ziekte- en arbeidsongeschiktheidskosten. Natuurlijk mogen bedrijven sollicitanten niet op zulke zaken screenen; maar de kosten van verzuim en arbeidsongeschiktheid zijn zo hoog dat dergelijk vuil spel aantrekkelijk wordt.
Waar beleidsmakers zich te weinig rekenschap van geven, is dat een kwetsbaar EPD individuele patiënten en de gezondheidszorg zelf in het hart raakt. Mensen beschouwen hun medische gegevens als strikt vertrouwelijk en wensen ze met dezelfde hoge mate van beveiliging behandeld te zien als hun financiële data. Zodra patiënten denken dat hun medische gegevens niet veilig zijn, zullen ze zich (tenminste gedeeltelijk) van de zorg afkeren. Wie gaat nog een vertrouwelijk gesprek met de huisarts aan over alcoholmisbruik, gokverslaving of relatieproblemen als derden erbij kunnen? Zou u nog een aidstest laten doen als u wist dat de uitslag ervan op straat kan komen te liggen?
Moet trouwens niet het hele concept van het medisch geheim herzien worden? Schending van het beroepsgeheim wordt nu als een één-op-één probleem gedefinieerd: arts A die de medische privacy van patiënt B schendt. De straf erop is een berisping van de tuchtraad. In moderne maatschappijen is dat een nogal oubollig concept. Het medisch geheim moet worden uitgebreid naar al diegenen die zich beroepsmatig met medische data bezighouden; ook datatypistes en systeembeheerders in de zorg dienen er bijvoorbeeld onder te vallen. Schending van het beroepsgeheim kan tegenwoordig bij honderdduizendtallen tegelijk gebeuren, en wordt daarmee – naast een ethische kwestie – vooral een economisch delict.
Onder deze beveiligingsvraagstukken gaat een ander probleem schuil. We verzamelen data vaak simpelweg omdat we het kunnen, zonder ons af te vragen hoe nuttig, noodzakelijk of correct ze zijn. Het zit in de computer, dus verlaten we ons erop. Het gevolg is dat eenmaal ingevoerde gegevens makkelijk een eigen leven gaan leiden (herinnert iemand zich nog hoeveel moeite het studenten kostte om foutieve gegevens te corrigeren toen de studiefinanciering ging automatiseren?), en dat mensen meer naar het scherm kijken dan naar de werkelijkheid. Juist bij artsen wil je dat niet: die zijn er om onbevangen naar ons haperende lichaam te kijken.
We kunnen beter koersen op een summier EPD waarin de kern van iemands gezondheidsprobleem wordt samengevat. Een soort landelijk nooddossier met alleen de hoogstnodige gegevens: of iemand diabetes heeft, een hoge bloeddruk, een penicilline-allergie, of hartproblemen. Condities die snel en alert ingrijpen kunnen vergen en die cruciaal zijn juist omdat iemand die daaraan lijdt, bewusteloos kan zijn. In alle andere situaties is die patiënt er zelf altijd nog bij. Dat die patiënt met zijn arts kan praten en zelf informatie kan verschaffen, verliezen we uit het oog.
Adequate zorg staat of valt niet met massale dataopslag. Adequate zorg staat en valt met de privacy van patiënten, met hun vertrouwen in hun artsen en in het voortbestaan van het medisch geheim.
We zijn volstrekt niet gewend om met zulke enorme hoeveelheden gevoelige gegevens om te gaan. Terwijl we enerzijds wonderen verwachten van het verzamelen en structureren van medische data, is anderzijds onze wetgeving rond het medisch geheim ronduit ouderwets, ons beheer ervan slordig, ons besef van de gevoeligheid van al die data rudimentair en onze greep erop slecht. Zolang dat probleem niet is opgelost, kunnen we het EPD beter maar zo beperkt mogelijk houden, en zijn fantasieën als die de Raad voor de Volksgezondheid en Zorg vorige week ventileerde, ronduit gevaarlijk.
Kader:
Twee ziekenhuizen lieten hun computersystemen op verzoek van Spaink testen door een groep beveiligingsexperts. Werknemers van ITSX, Fox-IT en Madison Gurkha voerden deze testen gratis uit. Iedereen gaf zijn belangeloze medewerking vanwege het inzicht dat de maatschappelijke acceptatie van het elektronisch patiëntendossier staat of valt met de veiligheid ervan.
De beveiligingstest is onderdeel van het project The Next Ten Years, een serie boeken opgezet door internetprovider XS4ALL in samenwerking met uitgeverij Nijgh & Van Ditmar. De serie behandelt de maatschappelijke veranderingen teweeg gebracht door nieuwe technologie, met name door internet. Spaink is hoofdredacteur van de serie en auteur van het eerste boek, Medische geheimen. Het tweede boek, over on-line gaming, verschijnt in maart 2006.
Hacken als publieksvoorlichting
Een machine hacken doe je om te zien hoe het mechanisme erachter werkt. Pas toen ik als kind mijn wekker uit elkaar had gehaald snapte ik hoe je met een veer en wat radertjes de tijd kunt bijhouden. Dat ik de boel de eerste keer niet in elkaar terug wist te zetten, was een kleine prijs om voor die kennis te betalen.
Moderne apparaten zijn fiks complexer dan mijn oude opwindwekker was. Sinds alleen al het normaal bedienen van een doorsnee-apparaat een duimdikke handleiding vraagt, lijkt het hacken van die machines nog maar voor een enkel genie te zijn weggelegd. Maar dat is een misvatting.
Makers van apparatuur en mechanismen volgen gewoonlijk elkaars sporen. Verbeteringen en verfijningen gaan uit van eenzelfde premisse: dat het apparaat zó bediend moet worden, dat je er X mee moet kunnen doen terwijl voorkomen moet worden dat iemand Y doet. Hun eigen vertrouwdheid met hun product zorgt voor vaste gewoontes en uiteindelijk voor blinde vlekken. De goede hacker is in staat buiten die gebaande paden te denken en kan met verse ogen naar een apparaat kijken.
Zo ontdekte Toool, een groep mensen die zich toeleggen op het begrijpen van hang- en sluitwerk, recent dat vrijwel alle sloten een manco hebben, inclusief de sloten die door beveilingsbedrijven en de politie worden aangeraden. Met een speciale sleutel en een paar tikjes erop krijgen ze vrijwel elk slot binnen een paar seconden schadevrij open. Hun ontdekking verklaarde een grote serie diefstallen zonder sporen van braak. Fabrikanten van sleutels werken nu aan nieuwe typen sloten, en de slimme onder hen laten hun prototypes door Toool testen. De samenwerking tussen slotenmakers en Toool maakt zo uiteindelijk uw sloten veiliger.
Niet alle fabrikanten reageren zo verstandig als slotenmakers. Wat Toool doet heet ‘reverse engineering’: iets uit elkaar halen om de werking al deducerend te achterhalen. Sommige bedrijven bewegen momenteel hemel en aarde om reverse engineering strafbaar te stellen, of beginnen rechtszaken tegen mensen die een lek of fout in hun machines of software hebben gevonden en dat in een publicatie of een lezing beschrijven. Dit laatste onder het motto dat hackers ‘bedrijfsgeheimen’ of auteursrecht schenden.
Op die manier wordt hacken gecriminaliseerd. Dat is dom. Je wilt juist dat buitenstaanders producten testen en fouten aan bedrijven en consumenten melden. Want wat je niet wilt is dat bedrijven zulke fouten voor zich houden en dat kennis ervan alleen in het geheim circuleert of in foute handen valt. Hacken is publieksvoorlichting en bedrijfsopvoeding ineen, en een pleidooi voor een verstandig gebruik van techniek.
Op diezelfde conferentie waar Toool hun kunnen demonstreerde, sprak ook een Nederlander die sinds jaar en dag machines bestudeert waarmee vingerafdrukken worden gelezen. Hij liet zien hoe hij in tien minuten een andermans vingerafdruk kan afnemen en een latex vingertopje weet te maken waarmee hij elke machine om de tuin leidt. Zijn oplossing: laat vingerlezers controleren of ze levend materiaal lezen. Maar fabrikanten weigeren die oplossing vooralsnog.
Daarmee geven ze ons een vals gevoel van veiligheid. Als we zo hameren op het belang van vingerafdrukken – bijvoorbeeld in ons aanstaande paspoort – moeten we ook hechten aan een goede verificatie om onze eigen afdruk te laten beoordelen. Anders doet al die techniek niets anders dan slimme criminelen een betere dekmantel geven, namelijk die van uw of mijn vingerafdruk. En wij betalen uiteindelijk de rekening van die falende techniek.